• 元宇宙:本站分享元宇宙相关资讯,资讯仅代表作者观点与平台立场无关,仅供参考.

推特吹哨人:举报是本分,只希望这个世界变得更安全

  • 腾讯科技
  • 2022年8月28日05时

Peiter "Mudge" Zatko,图源:《TIME》

编译丨金鹿

原文|TIME

被解雇的公司安全主管,在公司与全球首富要打官司的时候,突然走入公众视野,站在了敌人的一方,反手给了前东家一记耳光。
这名吹哨人名叫佩特·扎特科(Peiter Zatko),他曾经是全球知名的黑客和网络安全专家。2020年他受时任推特CEO杰克·多西的邀请加入这家公司,任安全主管。但仅仅两年后,他选择站在了推特的对立面。
推特吹哨人佩特·扎特科近日接受了《时代》杂志专访,他借此机会谈论了自己决定举报推特的动机,以及在公司内部从事改革、所受阻力、被解雇时的感受等等。
与此同时,《时代》杂志还采访了多名推特前任和现任员工,他们对扎特科披露的内容看法不一,但多数人大体上支持他的说法。
举报是最后手段,
站出来是出于道德责任
扎特科是位柔术大师。在举报这家社交媒体公司欺诈监管机构和公众的前一天,他坐在其律师位于华盛顿的办公室里,滚动着相册,发现了一张他用双腿被锁住某人脖子的照片,这个动作被称为“侧向三角绞”(side triangle)。扎特科说,这个招式很安全,因为在缺血对大脑造成任何持久损害之前,对手就会陷入昏迷。他解释说,自己之所以喜欢武术是因为这种艺术不仅仅关于蛮力,而是找到创造性的方法来让你的对手陷入被控状态。
扎特科的这种天赋业在网络安全方面表现出来。2020年11月,身为黑客的扎特科受聘成为推特的安全主管,负责修复世界上最重要通信平台之一的安全漏洞。但14个月后,他被解雇了。在那六个月后,他提交了全面的吹哨人举报信,在已经陷入危机的推特头上又浇了一桶油。
在提交给监管机构和司法部长达84页的举报信中,扎特科称推特正在被一群没有能力且不诚实的人领导着,受困于巨大的隐私安全漏洞问题,对国家安全构成威胁,甚至容易完全崩溃。
扎特科说,他觉得站出来是出于一种道德责任。他在最近接受《时代》杂志专访时说:“成为吹哨人是最后的手段,我只有在用尽了所有其他办法无果后才会这么做。这并不容易,但我认为这会帮助到这家公司。”
推特很快进行了回击。该公司首席执行官帕拉格·阿格拉瓦尔(Parag Agrawal)在给员工的电子邮件中写道,扎特科被解雇的原因是“低效的领导力和糟糕的表现”,他称这些披露“充斥着前后矛盾”和“虚假描述”。阿格拉瓦尔说:“扎特科对这项工作的许多方面负有责任,在被解雇六个多月后,他所提供的这些内容有很多在描述上是不准确的。”
在对扎特科的朋友、家人以及现任和前任同事的十几次采访中,这些人口中的事情实际上是相当复杂的。八名推特现任和前任员工表示,扎特科披露的许多内容听起来都符合他们的过往认知,特别是他对安全漏洞和公司领导层能力缺陷的指控。不过,扎特科的某些言论确实具有误导性,这其中的部分原因是扎特科对公司某些方面存在相对片面的理解。
推特正陷入与特斯拉首席执行官埃隆·马斯克的收购法律大战中,扎特科的指控适时的出现了,这使得扎特科举报信中所提及问题的准确性和可信度,成为关乎数十亿美元的问题。
一位曾与扎特科共事的现任推特员工质疑道:“扎特科的指控在总体上是正确。推特这样一家具有如此影响力的公司,确实没有创建合适的安全机制。不过他在很多事情上说的也比较片面。”
扎特科曾经从事过很多工作,在这些工作中,他可以自由地去尝试破坏公司现有的安全体系,找到安全上存在的漏洞。但在推特,这件事情出现了一点点变化。
他的同事们在采访中说,扎特科发现推特这家公司和之前他任职的其他公司不太一样,:这是一家一心只想提高收入的公司,面对紧张的内部局势,扎特科没有得到上级的支持。有些卷入这场风波的员工认为,扎特科是时任CEO杰克·多西出于宣传目的而聘请的员工。扎特科在技术上才华横溢,但在看待公司应该承担的道德底线时却很刻板。

扎特科告密信息引发两极反应
人们对扎特科所披露信息产生了截然不同的两极式反应,这表明他是个非典型科技行业告密者,不像Facebook前产品经理弗朗西丝·豪根(Frances Haugen),后者披露了数万页的公司内部文件,以证明该公司将利润置于用户安全之上。但读者未必都相信豪根的话,Facebook的安全团队也会进行辩解。
而扎特科不同,作为前高管,他对推特的决策过程了如指掌,而且在推特某些最高优先级的工作流程中,他最终领导着数以百计的员工。但他没有像豪根那样公布广泛的内部文件,虽然扎特科也提供了许多证据来支持他的说法,包括内部电子邮件,但部分经过编辑的信息在很大程度上依赖于他自己作为网络安全领域知名人物的可信度。他含蓄地希望公众相信他对事件的描述是正确的,而推特在撒谎。
扎特科告密引来了三重后果:
第一,扎特科站出来举报可能会让他损失大量金钱。代表扎特科的非营利性组织Whistleblower Aid发言人约翰·泰伊解释说,扎特科在推特的薪酬有一半是现金,但其余的是股票奖励。扎特科指控的消息传出后,这些股票的价值下跌了约9%。泰伊坚称,扎特科的举报动机是希望公司能够长期取得成功,而不是他自己获得私利。
第二,扎特科辩称,推特的机器人账户问题比该公司高管承认的更大,这可能会阻止推特强行要求马斯克完成收购交易。泰伊说,为了公众的利益,扎特科更希望推特继续保持上市公司的地位。他说:“我们担心,如果公司私有化,SEC将失去管辖权,无法继续对其进行问责。”扎特科告诉《时代》杂志,他从未见过马斯克,在他披露的信息公之于众之前,也没有向马斯克提供任何信息。
第三,扎特科告密产生的影响可能会持续扩大。9月13日,他将在美国国会就这些指控作证,这可能会促使SEC和FTC进行调查。这反过来可能会进一步侵蚀公众对社交媒体公司的信心,因为这些公司不断爆发各种问题。所有这一切都意味着,扎特科是什么样的告密者的问题,其后果已经远远超出了对推特未来的影响。
在个人资料图像中,扎特科留着飘逸的齐肩棕色头发。妻子萨拉·扎特科(Sarah Zatko)透露,他已经有20多年没有用这种长发造型的图片。不过,他使用这张头像绝非偶然,扎特科恢复了他在20世纪90年代的风格,认为这既是他生命中具有决定性意义的时刻,也是他现在所信奉道德的基础。
他在推特上谈到自己告密的决定时称:“我总是问自己:90年代末的扎特科会怎么想我现在所做的事情?我想确保自己没有失去这种初心,我仍坚持自己的道德底线,我正在为人们而战。”

国会作证曾镇住诸多参议员
从5岁开始,扎特科就与父亲一起在苹果电脑上进行黑客攻击、解锁和对电脑游戏进行反向工程训练。
十几岁的时候,他把时间花在现代互联网的前身ARPANET上,以及正在形成在线黑客社区公告栏上。大学毕业后,扎特科兼职做技术支持工作,并与名为L0pht的知名黑客团体合作,揭露企业的安全漏洞。他很快就成为了该组织最重要的成员,并加入了名为Cult of the Dead Cow的黑客组织。
在L0pht,扎特科奉行的策略是给公司难堪,因为这些公司拒绝修复他和其他同伴向他们指出的漏洞。上世纪90年代,扎特科最大的敌人是微软。当扎特科和他的同事们展示了在电脑上植入恶意代码并让其秘密运行的可能性时,微软对此不予理睬。L0pht为此发布了用户友好工具,允许任何人侵入Windows用户的个人账户,理由是这是迫使微软最终修复漏洞的唯一途径。扎特科说,如今微软可能拥有世界上最先进的安全程序。
不过,这种所谓“负责任的披露”似乎有点儿用词不当,因为犯罪分子可以使用扎特科发布的黑客程序在不到24小时内破解密码,使他们能够使用微软未打补丁的机器从无辜用户那里窃取信用卡或医疗数据。扎特科说,在决定发布该工具、迫使微软改变态度并保护用户前,他考虑了很长时间,最终认为即使有些人在短期内受到伤害也值得。
1998年5月,扎特科和L0pht的其他成员同意在国会山就互联网安全作证。当时,扎特科坐在七名黑客小组的中心,大部分时间都是他在说话。他声称自己可以在30分钟内黑掉互联网,从而引起了立法者的注意。扎特科问现场的参议员们:“当坐在你们面前的七个人都能摧毁建立网络的基础时,怎么能指望我们保护系统和网络呢?”
1998年5月19日,来自L0pht的计算机黑客在参议院政府事务关于政府计算机安全的听证会上作证
20多岁时,扎特科开始担任理查德·克拉克(Richard Clarke)的互联网安全问题非官方顾问,克拉克后来成为三位不同美国总统的网络安全主管。在9·11恐怖袭击之后,网络安全突然成为反恐战略的重要组成部分,扎特科开始免费为美国情报机构和军方提供咨询。当他开始分析数据时,扎特科被他发现的东西震惊了。他说:“我能想出许多方法来摧毁金融业。我刚刚开始意识到,我一个人就可能会造成严重破坏。”
随后几年中,随着互联网安全的影响扩展到诈骗、网络攻击以及企业或政府安全黑客攻击之外,互联网安全变得更加复杂。扎特科公开表示,在2016年大选前,资深安全专家的建议被忽视,他对此感到非常失望。

临危受命,誓言纠正推特的安全方向
但在四年后的某天,扎特科接到了推特联合创始人多西的电话,这让他感到兴奋。最终,扎特科决定接受多西提供的工作,负责推特的整体安全运营,包括数据和硬件等工作。扎特科认为,保护像推特这样有影响力的平台可能是他“在宇宙中留下印记”的最有效方式,这也是他在L0pht工作期间的个人座右铭。
此举被专家誉为推特认真致力于解决长期存在安全问题的标志。显然,当时的推特也的确需要扎特科,该公司正在经历其16年历史上最尴尬的事件之一。2020年7月,包括两名青少年在内的三人使用网络钓鱼方法进入推特员工的账户。然后,他们能够使用包括埃隆·马斯克在内的各种名人的账户发送推文,并设置了一个骗局,让他们净赚了价值超过10万美元的比特币。
这并不是推特第一次遭遇重大安全事件。早在2011年,美国FTC就曾对推特提起诉讼,称其未能保护消费者信息。此案本应促使推特实施更强大的安全计划以抵御网络攻击。然而,2020年7月黑客攻击的成功表明,该平台仍然脆弱不堪。隐私与安全研究员鲁纳·桑德维克(Runa Sandvik)表示:“谷歌、微软、苹果和Meta始终在推出新功能来帮助人们保护他们的账户和信息,但推特的关注点似乎偏离了方向。”
扎特科在举报信中称,他原以为自己的职业生涯剩余时间将在推特度过。但他在所披露文件中的一份员工备忘录中写道,情况很快就变得明显起来,该公司在安全方面“落后于”竞争对手十年。他声称,推特对抗机器人的团队人手不足,工作量过大,该公司承诺在2011年与FTC达成和解后制定的内部安全措施也未推出。扎特科称,推特平均每周都会发生严重的安全漏洞事件。
扎特科了解到,太多的推特员工拥有不可撤销的访问权限,而哪怕只有一个拥有正确系统权限的流氓工程师都可能会破坏该平台。扎特科试图修补这些漏洞,他关闭了几个现有的安全和隐私项目,转而成立新的部门,并乐观地将其命名为“信任”团队。他起草了一份三年计划,以改善防御努力并衡量垃圾邮件机器人的数量,他声称垃圾邮件机器人在整个平台上猖獗且不受控制。
但扎特科透露,他的努力不断受到公司高层阻挠,当涉及到安全问题时,“故意忽视”已经成为常态。有些产品经理“被鼓励”忽略安全和隐私问题,以便更快地发布新产品。接受《时代》杂志采访的推特现任和前任员工证实了扎特科的总体指控,即推特经常将利润置于用户安全之上。一位前推特员工表示:“除非你能提出令人信服的论据,说明为何改进安全或隐私将使企业受益更大而不是推高成本,否则很难推动变革。”
时任推特CEO的杰克·多西 图源:盖蒂图片社
扎特科补充说,他向推特董事会通报各种安全问题的努力遭到了警告,至少有两次高管要求他向董事会隐瞒信息。推特也拒绝了多次扎特科要求解决具体漏洞的请求。与此同时,扎特科披露的信息显示,他认为会成为其主要盟友的多西露面时间越来越少,注意力也越来越多集中到其他地方。
2021年11月,当多西辞职时,情况开始变得更糟。在扎特科到来之前,阿格拉瓦尔曾是负责安全问题的最高级别高管,这促使两人之间的紧张关系迅速升级。扎特科在他披露的信息中说,他开始担心阿格拉瓦尔将利用他上任以来的首次董事会会议来降低安全问题的严重性。
扎特科曾在去年12月15日给阿格拉瓦尔写信,宣称后者的演示材料中存在“大量的重大失实陈述”。但阿格拉瓦尔对此不屑一顾,次日就将这些文件提交给了董事会风险委员会。在2022年1月4日发给阿格拉瓦尔的电子邮件中,扎特科称这些文件“明显存在欺诈”,并写道,他说:“我受雇是为了实现某些目标,解决推特的问题。为了做到这些,我们需要认识到公司的实际情况。”
几天后,阿格拉瓦尔给扎特科回信称,该公司已对其所谓的“欺诈”指控展开内部调查。扎特科被要求提供一份详细的报告来支持他的说法,自此他开始整理这些报告。但不到两周后,他还没来得及提交报告,就被解雇了。扎特科在3月17日聘请了Whistleblower Aid,也就是马斯克提出收购推特前1个月。他得出的结论是,他别无选择,只能告发此事。扎特科说:“改变有时需要捅马蜂窝。从伦理和道义上讲,我必须这样做。”
在采访中,现任和前任推特高管对扎特科的指控有不同看法。有些人说,扎特科的许多指控都是正确的,包括数据管理问题、混乱的领导层和平台漏洞。但其他人认为,他错误地描述或夸大了披露中的某些细节,特别是当涉及到他自己没有解决的问题时。
一位曾与扎特科共事的现任员工表示:“他当时并不知道机器人账户问题,那不在他的安全权限之内。”扎特科的律师对此提出异议,辩称他作为推特服务的最终监管者,确实对机器人问题有所了解。这种分歧可能归因于推特混乱的组织结构,在这种结构中,该公司的不同部门都宣称有权处理机器人问题。

卷入马斯克诉讼大战,告密时机引质疑
在专家看来,扎特科的许多说法都有夸大其词的嫌疑。例如,他披露的信息称,推特未能拥有机器学习模型训练数据的权利,这构成了“欺诈”。但根据两名前推特员工和其他熟悉行业标准的人的说法,这一“缺陷”是整个行业的标准做法。
随着受到的抵制加剧,扎特科告诉《时代》杂志,他坚持自己的指控,由于法律原因,除了披露的内容外,他不能谈论自己在推特的太多工作。扎特科说:“我知道企业应对这类指控最常见的策略,可能会有人试图攻击我的人格,或者把事情个人化,或者制造任何会分散人们对数据和当前问题注意力的事情。”
虽然扎特科用理想化的术语描述了他的告密决定,但披露的时机值得注意。决定马斯克是否必须完成收购推特的审判将于10月17日在特拉华州开始,扎特科一开始就让自己卷入了这场法律大战,声称推特“在机器人账户的问题上对马斯克撒谎”。扎特科甚至直接卷入了这场官司:马斯克的律师亚历克斯·斯皮罗(Alex Spiro)告诉《时代》周刊,他的团队已经传唤了扎特科。不过,扎特科的律师说其没有收到这样的传票。
两名法律专家表示,他们怀疑扎特科的说法是否会对诉讼产生重大影响。他几乎没有提供有关垃圾邮件机器人的新信息,他所声称的关于垃圾邮件机器人的信息与收购协议几乎没有什么关系。杜兰大学法学教授安·利普顿(Ann Lipton)认为,扎特科声称推特在提交给美国证券交易委员会的文件中撒谎的说法很难证明。利普顿说:“当一名心怀不满的员工不同意管理层的决定时,这通常不会将公司向SEC提交的文件视为虚假信息的充分依据。”
SEC前律师霍华德·费舍尔表示:“这个问题需要归结于吹哨人所作论述的可信度,而这通常取决于是否存在确凿证据。推特真正的监管风险在于,是否有书面证据可以证明,该公司在明知产生负面后果情况下,在公开文件和声明中存在误导监管机构或投资者的行为。仅仅是前雇员的个人陈述显然不够。”
扎特科于2022年8月23日在华盛顿参加会议 图源:《TIME》
扎特科知道他的行为会导致推特陷入混乱,并引发监管机构调查,他说他做出告密决定的目的只有一个:让推特变得更安全,从而让世界变得更安全。扎特科在接受《时代》采访时拒绝讨论他投诉的核心内容,但当他9月在国会作证时,他将有法律义务来扩展指控,届时可能会揭露推特内部发生的更多破坏性细节。
扎特科不再是过去那个年轻的明星黑客了。在接受《时代》杂志采访的两天前,他在与柔术对手搏斗时摔断了脚趾,他将这起事故部分归因于背部伤患。医生告诉他,这是过去几个月压力过大所致。然而,如果你要参与战斗,受伤就不可避免。扎特科称:“如果你只是对对手的所作所为做出反应,他们就成了能左右你、操纵你的人,这在科技行业同样很常见。”


精彩回顾



Copyright © 2021.Company 元宇宙YITB.COM All rights reserved.元宇宙YITB.COM